Recolha registos do Cisco IronPort

Compatível com:

Este documento explica como carregar registos do Cisco IronPort para o Google Security Operations através do Bindplane. O analisador extrai campos das mensagens syslog, especificamente os relacionados com eventos AccessLogs_chron. Usa padrões grok para analisar a mensagem, converte tipos de dados e mapeia os campos extraídos para o modelo de dados unificado (UDM), processando vários campos específicos do Cisco Ironport, como grupos de políticas e decisões de acesso. Também realiza o processamento básico de erros e define campos de metadados, como o fornecedor e o nome do produto.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Windows 2016 ou posterior, ou um anfitrião Linux com systemd
  • Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
  • Acesso privilegiado ao Cisco IronPort

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento.
    • Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindpolane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:
    • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure o Syslog no Cisco IronPort

  1. Inicie sessão na IU Web do Cisco IronPort.
  2. Clique em Administração do sistema > Subscrições de registo.
  3. Clique em Adicionar subscrição de registos.
  4. Indique os seguintes detalhes de configuração:
    • Tipo de registo: selecione Registos de acesso ou outros registos que queira exportar.
    • Estilo de registo: selecione Squid.
    • Nome do ficheiro: indique um nome de ficheiro se não for fornecido por predefinição.
    • Método de obtenção: selecione Syslog Push (usa a porta predefinida 514).
    • Nome do anfitrião: introduza o endereço IP do agente do Bindplane.
    • Protocolo: selecione UDP.
    • Instalação: selecione local0 ou syslog.
  5. Clique em Enviar.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
AccessLogs_chron metadata.product_event_type Mapeado diretamente a partir do campo product_event extraído pelo primeiro analisador grok.
acl_decision_tag security_result.detection_fields.key O valor é "ACL Decision Tag". A lógica do analisador sintático define este valor quando acl_decision_tag está presente nos registos.
acl_decision_tag security_result.detection_fields.value Mapeado diretamente a partir do campo acl_decision_tag extraído pelo segundo analisador grok.
access_or_decryption_policy_group security_result.detection_fields.key O valor é "AccessOrDecryptionPolicyGroup". A lógica do analisador sintático define este valor quando access_or_decryption_policy_group está presente nos registos.
access_or_decryption_policy_group security_result.detection_fields.value Mapeado diretamente a partir do campo access_or_decryption_policy_group extraído pelo segundo analisador grok.
authenticated_user principal.user.userid Extraído do campo authenticated_user através de grok e gsub para remover barras invertidas e aspas.
cache_hierarchy_retrieval security_result.detection_fields.key O valor é "Cache Hierarchy Retrieval". A lógica do analisador sintático define este valor quando cache_hierarchy_retrieval está presente nos registos.
cache_hierarchy_retrieval security_result.detection_fields.value Mapeado diretamente a partir do campo cache_hierarchy_retrieval extraído pelo segundo analisador grok.
data_security_policy_group security_result.detection_fields.key O valor é "DataSecurityPolicyGroup". A lógica do analisador sintático define este valor quando data_security_policy_group está presente nos registos.
data_security_policy_group security_result.detection_fields.value Mapeado diretamente a partir do campo data_security_policy_group extraído pelo segundo analisador grok.
external_dlp_policy_group security_result.detection_fields.key O valor é "ExternalDlpPolicyGroup". A lógica do analisador sintático define este valor quando external_dlp_policy_group está presente nos registos.
external_dlp_policy_group security_result.detection_fields.value Mapeado diretamente a partir do campo external_dlp_policy_group extraído pelo segundo analisador grok.
hostname principal.asset.hostname Mapeado diretamente a partir do campo hostname extraído pelo primeiro analisador grok.
hostname principal.hostname Mapeado diretamente a partir do campo hostname extraído pelo primeiro analisador grok.
http_method network.http.method Mapeado diretamente a partir do campo http_method extraído pelo segundo analisador grok.
http_response_code network.http.response_code Mapeado diretamente a partir do campo http_response_code extraído pelo segundo analisador grok e convertido em número inteiro.
identity_policy_group security_result.detection_fields.key O valor é "IdentityPolicyGroup". A lógica do analisador sintático define este valor quando identity_policy_group está presente nos registos.
identity_policy_group security_result.detection_fields.value Mapeado diretamente a partir do campo identity_policy_group extraído pelo segundo analisador grok. Copiado do campo timestamp após o processamento do filtro de data. Definido como "STATUS_UPDATE" se has_principal for verdadeiro. Caso contrário, é definido como "GENERIC_EVENT". Valor constante: "Cisco Ironport". Valor constante: "Cisco".
outbound_malware_scanning_policy_group security_result.detection_fields.key O valor é "OutboundMalwareScanningPolicyGroupS". A lógica do analisador sintático define este valor quando outbound_malware_scanning_policy_group está presente nos registos.
outbound_malware_scanning_policy_group security_result.detection_fields.value Mapeado diretamente a partir do campo outbound_malware_scanning_policy_group extraído pelo segundo analisador grok.
request_method_uri target.url Mapeado diretamente a partir do campo request_method_uri extraído pelo segundo analisador grok.
result_code security_result.detection_fields.key O valor é "Result Code". A lógica do analisador sintático define este valor quando result_code está presente nos registos.
result_code security_result.detection_fields.value Mapeado diretamente a partir do campo result_code extraído pelo segundo analisador grok.
routing_policy_group security_result.detection_fields.key O valor é "RoutingPolicyGroup". A lógica do analisador sintático define este valor quando routing_policy_group está presente nos registos.
routing_policy_group security_result.detection_fields.value Mapeado diretamente a partir do campo routing_policy_group extraído pelo segundo analisador grok.
severity security_result.severity Mapeado a partir do campo severity. Se o valor for "Info", é definido como "INFORMATIONAL".
source_ip principal.asset.ip Mapeado diretamente a partir do campo source_ip extraído pelo segundo analisador grok.
source_ip principal.ip Mapeado diretamente a partir do campo source_ip extraído pelo segundo analisador grok.
timestamp timestamp Extraído do campo message através do grok e, em seguida, analisado através do filtro de data.
total_bytes network.sent_bytes Mapeado diretamente a partir do campo total_bytes extraído pelo segundo analisador grok e convertido em número inteiro não assinado. Apenas mapeado se não estiver vazio ou for "0".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.